Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) ist, da sie das Web-basierte Simple Certificate Enrollment Protocol (SCEP) implementiert, als Webanwendung im Microsoft Internet Information Service (IIS) abgebildet. Hier läuft der Dienst in einem Anwendungspool namens "SCEP". In vielen Fällen ist es ausreichend, für diesen die integrierte Anwendungspool-Identität zu verwenden.
Es gibt jedoch Fälle, in denen man ein Domänenkonto verwenden möchte. Ein Beispiel hierfür ist der Certificate Connector für Microsoft Intune, welcher dies zwingend voraussetzt.
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
Die Konfiguration von NDES mit einem Domänenkonto erfordert folgende Schritte:
- Dienstprinzipalnamen (engl. Service Principal Name, SPN) registrieren für Kerberos Authentisierung.
- "Enroll" Berechtigung für das Domänenkonto auf die NDES-Gerätevorlage setzen.
- "Read" Berechtigungen auf private Schlüssel der Registration Authority Zertifikate (Hinweis: Dies ist auch per Voreinstellung der Zertifikatvorlage möglich. Vollzugriff ist nicht notwendig.)
- Mitgliedschaft in der lokalen IIS_IUSRS Gruppe auf dem NDES-Server für das Domänenkonto konfigurieren.
- Impersonate a Client after Authentication (SeImpersonatePrivilege, in der Standardeinstellung durch Mitgliedschaft in IIS_IUSRS gegeben) auf dem NDES-Server für das Domänenkonto konfigurieren.
- Log on as a Batch Job (SeBatchLogonRight, in der Standardeinstellung durch Mitgliedschaft in IIS_IUSRS gegeben) auf dem NDES-Server für das Domänenkonto konfigurieren.
- Eintragen des Domänenkontos als Identität des "SCEP" Anwendungspools.
Details: Dienstprinzipalnamen registrieren
setspn -s http/{DNS-Name-NDES-Server} {Domainname}\{Name-NDES-Dienstkonto}
Details: Eintragen der Identität des Anwendungspools
Weiterführende Links:
- Benötigte Windows-Sicherheitsberechtigungen für den Registrierungsdienst für Netzwerkgeräte (NDES)
- Der Certificate Connector für Microsoft Intune wirft bei der Konfiguration die Fehlermeldung "ArgumentException: String cannot be of zero length"
- Auswahl der Identität für den IIS Anwendungspool des Registrierungsdienstes für Netzwerkgeräte (NDES)
Externe Quellen
- Configure infrastructure to support SCEP with Intune (Microsoft Corporation)
Deutsch 
English
2 Gedanken zu „Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Domänenkonto konfigurieren“
Kommentare sind geschlossen.